[РЕШЕНО] Прошу помочь удалить вирус trojan.multi.genautoruntask.c в системной памяти.

[regist 617]

Соберите заново свежий лог uVS. На время сбора логов антивирус отключите, а вирус не удаляйте (чтобы засветился в логе). На всякий случай советую на это время отключить и интернет.

[Рамиль34 0]

13.02.2021 в 00:08, regist сказал:

Соберите заново свежий лог uVS. На время сбора логов антивирус отключите, а вирус не удаляйте (чтобы засветился в логе). На всякий случай советую на это время отключить и интернет.

Добрый день. Все во вложении.

FRST.txt Addition.txt DESKTOP-IMVEP3K_2021-02-15_08-13-24_v4.11.3.7z

[regist 617]

Selectel Network - ваш провайдер?

Соберите ещё свежие логи Автологером, как указано в правилах раздела.

+ дополнительно

 

Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.

 

 

+ Перед тем как собирать свежие логи поменяйте в настройках роутера [DhcpNameServer] 192.168.0.1 - на DNS вашего провайдера.

 

[Рамиль34 0]

52 минуты назад, regist сказал:

Selectel Network - ваш провайдер?

Нет, у меня Ростелеком.

 

51 минуту назад, regist сказал:

Перед тем как собирать свежие логи поменяйте в настройках роутера [DhcpNameServer] 192.168.0.1 - на DNS вашего провайдера.

Честно сказать роутер у меня  так же от Ростелекома. И где менять эти настройки я не знаю. Сейчас посмотрю на роутере написан ли его адрес.

[Sandor 1 253]

Смотрите договор с провайдером, там должно быть это указано.

[Рамиль34 0]

6 часов назад, regist сказал:

Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.

https://www.getsysteminfo.com/report/ed106c257dc43c6d8dc411dc351f17b5

 

6 часов назад, regist сказал:

Соберите ещё свежие логи Автологером, как указано в правилах раздела.

 

CollectionLog-2021.02.15-14.24.zip

[regist 617]

5 часов назад, Sandor сказал:

Смотрите договор с провайдером, там должно быть это указано.

Если в договоре не написано, то позвоните к ним тех. поддержку. Также если не знаете как изменить адрес, то можете попросить помочь и с этим.

После того как это сделаете

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain

И соберите свежие логи Автологером.

 

+ Путь к папке документы сами изменили?

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents

 

Изменено 15 февраля, 2021 пользователем regist

[Рамиль34 0]

15.02.2021 в 18:36, regist сказал:

Если в договоре не написано, то позвоните к ним тех. поддержку. Также если не знаете как изменить адрес, то можете попросить помочь и с этим.

Добрый день. Попытался я поменять ДНС, но интернет отвалился. Прикладываю скрин.

 

Так же сегодня антивирус попрежнему находит вирус. При лечении без перезагрузки удаляет несколько троянов. отчет касперского прикладываю.

отчет Касперского.txt

Изменено 17 февраля, 2021 пользователем Рамиль34

[regist 617]

15.02.2021 в 18:36, regist сказал:

+ Путь к папке документы сами изменили?

Почему игнорируете?

 

По поводу скрина настройка роутера к данному разделу никак не относится. Можете позвонить в тех. поддержку провайдера и попросить помочь вам его настроить, по идее должны и удалённо от себя это сделать.

Либо попросить помощи в соседнем разделе: Компьютерная помощь.

[Рамиль34 0]

8 часов назад, regist сказал:

Почему игнорируете?

Нет, ничего я не менял.

 

8 часов назад, regist сказал:

По поводу скрина настройка роутера к данному разделу никак не относится. Можете позвонить в тех. поддержку провайдера и попросить помочь вам его настроить, по идее должны и удалённо от себя это сделать.

Либо попросить помощи в соседнем разделе: Компьютерная помощь.

Сейчас разговаривал с тех.поддержкой ростеклекома, они говорят что ДНС адреса у них присваиваются автоматически и возможности их менять нет ни на их стороне ни у меня в роутере. Как быть?

Изменено 17 февраля, 2021 пользователем Рамиль34

[regist 617]

Они явно вас не поняли, либо как часто бывает не повезло с оператором.

Скажите, что вам вирус подменил DNS на троянские и вам надо вручную прописать в роутере их DNS.

[Рамиль34 0]

17 минут назад, regist сказал:

Они явно вас не поняли, либо как часто бывает не повезло с оператором.

Скажите, что вам вирус подменил DNS на троянские и вам надо вручную прописать в роутере их DNS.

Еще раз пообщался с техподдержкой Ростелеком. Сказал прям как вы написали что вирус подменил ДНС. Они говорят что у них ДНС автоматический и меняется при каждой сессии. И тем более что у меня роутер так же Ростелекомовский, и у них в прошивке так же заложен автоматический ДНС. Ничего поменять они не могут. Говорят что даже если вирус что-то поменяет, то у меня не будет интернета. Но через час предположим, ДНС снова изменится автоматически и все заработает.

[regist 617]

Значит "повезло" с оператором. Создайте тему в соседнем разделе и попросите помочь  с настройка роутера. Там возможно на вкладке WAN надо настроить.

[Рамиль34 0]

7 часов назад, regist сказал:

Значит "повезло" с оператором. Создайте тему в соседнем разделе и попросите помочь  с настройка роутера. Там возможно на вкладке WAN надо настроить.

Создал 

 

 

15.02.2021 в 18:36, regist сказал:

"Пофиксите" в HijackThis:

 

15.02.2021 в 18:36, regist сказал:

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents

Это тоже надо было фиксить?

HiJackThis.log

[regist 617]

Раз сами не переназначали, то тогда да.

Пофиксьте в Хиджак

O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = C:\Documents
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = %SystemDrive%\Documents
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)

Затем сделайте такой лог

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11 [http://dsrt.dyndns.org]
   v400c
   
   adddir %SystemDrive%\PROGRAMDATA
   crimg
   

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению.

Подробнее читайте в этом руководстве.